Open Source im professionellen Einsatz
Linux-Magazin 10/2015
© Ahmet Ihsan Ariturk, 123RF

© Ahmet Ihsan Ariturk, 123RF

Docker-Security

Vorsicht Container!

In dem Maße, wie Containerlösungen wie Docker in Unternehmen immer mehr Anwender finden, rücken Sicherheitsaspekte stärker in den Fokus. Schon länger bescheinigen Kritiker Docker Schwächen in diesem Bereich. Doch wo genau hat sich das Projekt verhoben?

372

Bei Docker (Abbildung 1, [1]) – so scheint es – hinkt die Sicherheit der Beliebtheit hinterher. Zwar setzen immer mehr Unternehmen Docker im Rechenzentrum ein, doch Technologien, mit denen Admins die Container absichern, etablieren sich nur langsam. Oft reißen gerade jene Features, die Docker beliebt machen, zugleich Sicherheitslücken auf.

Abbildung 1: Die Webseite von Docker preist ihre Container als Instant-Lösung.

Was der Kernel nicht isoliert

Docker nutzt die Fähigkeit des Linux-Kernels, voneinander isolierte Umgebungen zu schaffen, in denen Anwendungen laufen. Diese Container sind schlank, weil sie sich denselben Kernel teilen, werkeln aber dank Cgroups [2] und Namespaces [3] in eigenständigen Laufzeitumgebungen. Sie legen die von einem Container nutzbaren Ressourcen fest, zugleich sieht nur der Container selbst bestimmte Prozesse und Netzwerkfunktionen.

Während aber ein Angreifer aus einer gekaperten VM heraus kaum mit dem Kernel des Hosts interagieren kann, hält die Container-Isolation weniger dicht. Der Angreifer erreicht hier wichtige Kernel-Subsysteme wie SE Linux [4] und Cgroups sowie »/sys« und »/proc« . So kann er potenziell Sicherheitsfeatures des Hosts umgehen.

Zugleich verwenden Container den gleichen User Namespace wie ihr Hostsystem. Läuft also ein Prozess im Container mit Rootrechten, behält er diese auch, wenn er mit dem Kernel oder eingebundenen Dateisystemen interagiert. Admins lassen Software in Containern daher besser nicht mit Rootrechten laufen, was ohnehin nur selten nötig ist.

Risiko: Dockers Daemon

Der Docker-Daemon aber braucht Rootrechte. Er verwaltet die Container auf dem Host und muss mit dem Kernel reden, der die isolierten Umgebungen bereitstellt. Nutzer, die den Daemon einsetzen, erhalten so einen privilegierten Zugriff auf das System. Das ist insbesondere kritisch, wenn ein Hoster erwägt, Container über eine Weboberfläche im Selfservice anzubieten.

Es gäbe zwar die Möglichkeit, die Gruppe »docker« zu verwenden. Die aber bringt kaum mehr Sicherheit, da ihre Mitglieder Container erstellen dürfen, in denen erstens wiederum eine Rootshell läuft und die zweitens das Host-Dateisystem einbinden. Hier bleibt nur, den Zugriff auf den Docker-Dienst streng zu reglementieren, um eine unerwünschte Rechte-Ausweitung zu vermeiden.

Des Weiteren kann Dockers Daemon über ein REST-API via HTTP(S) kommunizieren. Wer diese Funktion [5] nutzt, sollte den Zugriff auf das API auf ein vertrauenswürdiges Netz begrenzen oder ihn über SSL-Client-Zertifikate oder Ähnliches einschränken.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 2 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Docker

    Docker ist das englische Wort für Hafenarbeiter. Das passt, denn die gleichnamige Software füllt und verschiebt Container – die unter anderem Webanwendungen enthalten.

  • Shocker: Sicherheitslücke in Docker
  • Aktuelle Container

    Cgroups und Namespaces sind unter Linux das Nonplusultra, wenn es um Container-Technologien geht. Deshalb fußen auch gleich mehrere ganz neue Ansätze auf dieser Technik. Und alle versprechen eine Fülle nie gesehener Vorteile. Was ist dran?

  • Etablierte Container

    Container-Virtualisierung ist keine Erfindung der Gegenwart. Tatsächlich existieren solche Lösungen für Linux bereits seit Jahren. Das Linux-Magazin stellt die Platzhirsche und ihren Charakter vor.

  • RDBMS-Container

    Wer sowieso viele Dienste in Containern konfektioniert von Server zu Server schiebt, fragt sich, warum nicht auch Datenbanken. Der Artikel schildert den Status quo für RDBMS-Container.

comments powered by Disqus

Ausgabe 04/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.